0 |
Шон Диллон (Sean Dillon), исследователь кибербезопасности из фирмы RiskSence, сообщил о создании вредоносного ПО SMBdoor, относящегося к категории бэкдоров – программ, открывающих несанкционированный доступ в заражённую ими систему.
SMBdoor замаскирован под драйвер ядра Windows, после установки использует недокументированные возможности API в процессе srvnet.sys и регистрирует себя обработчиком соединений SMB (Server Message Block).
Это концептуальное ПО не привязывается к каким-либо локальным сокетам и открытым портам, не подключается к имеющимся функциям, оставаясь практически необнаружимым для многих антивирусных систем.
Примером для автора SMBdoor служили вредоносные импланты DoublePulsar и DarkPulsar, созданные в АНБ и обнародованные печально знаменитой группой хакеров Shadow Brokers в начале 2017 г.
В отличие от этих программ, экспериментальный бэкдор Диллона имеет ряд ограничений, препятствующих использованию его в преступных целях. Обойти их в принципе можно, сообщает исследователь, но цель не будет оправдывать затраченных усилий.
Автор рассчитывает, что его «невидимая» программа вызовет интерес в академической среде и у производителей средств обнаружения вторжений, позволив улучшить безопасность пользователей Windows благодаря более эффективному детектированию угроз SMBdoor, DoublePulsar и DarkPulsar.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |